Quick wins om Ransomware te voorkomen

Ransomwareaanvallen nemen toe in omvang en worden steeds geavanceerder. De schade van een gemiddelde ransomwarebesmetting kan oplopen tot wel tienduizenden euro’s in gemist werk en werk om de situatie te herstellen. Deze schade staat nog los van de negatieve aandacht en imagoschade die gepaard gaat met dit type informatiebeveiligingsincidenten. Experts verwachten in ieder geval in 2017 nog een toename van ransomware. De beperking van anonimiteit van cryptocurrencies als bitcoin en sterkere anti-malwareoplossingen zullen uiteindelijk leiden tot een afname van dit fenomeen.

Voorkomen is beter dan genezen

Het up-t0-date houden van alle ICT-systemen in combinatie met een sterk backup- en recoverybeleid kan de impact van een besmetting beperken. Maar voorkomen blijft in alle gevallen beter dan genezen. Gebruikers zijn de eerste verdedigingslinie in de strijd tegen veel bedreigingen. Er is maar 1 klik nodig om een hoop ellende te veroorzaken. Dat maakt het verhogen en op peil houden van bewustzijn bij uw gebruikers van het allerhoogste belang. Daarnaast kunt u mogelijk nog additionele maatregelen nemen om Ransomware te voorkomen.

Quick wins

De gevolgen van ransomware zijn groot en zichtbaar en daarom is het extra belangrijk om maatregelen te treffen die een besmetting tegengaan. In dit artikel treft u een overzicht van de belangrijkste quick wins, dat zijn maatregelen die u relatief eenvoudig kunt nemen om te voorkomen dat uw gemeente schade ondervindt van ransomwarebesmettingen.

1. Blokkeer prive webmail

De belangrijkste oorzaak van ransomware-besmettingen verloopt via privé-e-mail die via de browser wordt gelezen. Omdat de meeste mensen tegenwoordig de mogelijkheid hebben om hun prive-e-mail te lezen via de smartphone of tablet kunt u overwegen om gebruikers niet toe te staan om hun privé-webmail te gebruiken binnen het gemeentelijk netwerk. Het blokkeren van de belangrijkste webmaildiensten (*.gmail.com, *.hotmail.com, mail.ziggo.nl, *.kpnmail.nl, etc.) vermindert de kans op besmettingen vanuit deze bron aanzienlijk.

2. Schakel macro’s in documenten uit

Microsoft office bestanden kunnen functioneren als eigen bestandssysteem en hebben de mogelijkheid om met een krachtige script-taal bijna iedere handeling uit te voeren. Sommige ransomware varianten gebruiken deze functionaliteit, door het gebruik van macro’s niet toe te staan, neemt u dat risico weg. Moderne Office varianten starten daarnaast bestanden op in veilige leesmodus.

3. Gebruik Office viewers als standaardapplicatie

Deze viewer applicaties tonen hoe documenten eruit zien zonder ze te openen in Word of Excel. Hiermee is het dus makkelijker om gevaarlijke bestanden te herkennen.

4. Geef bestandsextensies weer en wijzig de associaties van bestandstypen, bijvoorbeeld javascript

Ransomware probeert vaak zijn ware identiteit te verbergen door zich voor te doen als een bekend bestandstype. Een besmet bestand dat zich voordoet als PDF-document, heet bijvoorbeeld ‘Factuur.pdf.exe’, maar als deze optie aanstaat, verschijnt het bestand als ‘Factuur.pdf’. Als u de bestandsextensies weergeeft is het voor gebruikers makkelijker om de dreiging op te merken.
Bepaalde bestandstypen worden vaak gebruikt om malware te verspreiden. Javascript (.js) is zo’n voorbeeld. Door javascript standaard te associeren met notepad (ipv. wscript) worden besmettingen door malafide javascript voorkomen.

5. Schakel RDP uit

Cryptolocker/Filecoder malware maakt voor toegang vaak gebruik van het Remote Desktop Protocol (RDP), een Windows tool die anderen toegang op afstand kan toestaan. Als u dit protocol niet nodig hebt schakel het dan uit, of blokkeer het in de firewall voor iedereen behalve bepaalde beheerplekken (als dat nodig is voor bepaalde beheertaken).

6. Blokkeer TOR verkeer op het netwerk

Blokkeer of monitor TOR verkeer in het netwerk. Er zijn namelijk diverse ransomware varianten in omloop, die gebruik maken van het TOR netwerk om de Command & Control (C2) server van de malware te maskeren.

7. Zet logging aan binnen diverse infrastructuur componenten

Logging is belangrijk om detectie mogelijk te maken en om achteraf onderzoek te doen naar wat er is gebeurd. Begin met het nadenken over logging en lees daarvoor eerst het document Aanwijzing logging van de IBD.

8. Filter & scan inkomende e-mails op uitvoerbare bestanden

Als uw mail scanner de mogelijkheid heeft om op bepaalde bestandsextensies te filteren, sta dan geen uitvoerbare bestanden toe en ook geen bestanden met een dubbele bestandsextensie (bijvoorbeeld “*.*.EXE” files). Als u toch uitvoerbare bestanden files moet uitwisselen, gebruik dan een compressie programma als 7zip of winzip om deze bestanden in te pakken. Sommige e-mail scanners dwingen af dat mail met een bijlage standaard geweigerd wordt en daarmee komen in de tweede tranche alleen mails binnen die ook echt uit het afzender domein verzonden zijn.

Het gebruik van e-mailsecuritysoftware om bijlagen te scannen of bepaalde bestandstypen in de bijlage te blokkeren nog voordat ze in de mailbox terechtkomen, is een goede manier om ransomware te bestrijden. Kijk voor mogelijke bekende bestands extensies die gevaarlijk kunnen zijn bijvoorbeeld op file-extensions.org.

9. Plaats documenten met macro’s in quarantaine

Via mail binnenkomende documenten met een ingesloten macro zouden standaard in quarantaine geplaatst moeten worden. Op die manier wordt voorkomen dat mogelijk schadelijke macro’s toch direct in de mailbox van de ontvanger kunnen komen. In de laatste Office varianten wordt overigens een document dat afkomstig is van internet vaak standaard in lees mode geopend. Om alsnog de macro’s te starten moet de gebruiker een bewuste handeling uitvoeren.

Zelf tips?

Heeft u zelf maatregelen getroffen die werken? Deel ze dan via de community of geef ze door via de IBD-helpdesk via info@IBDgemeenten.nl.

10. Bonustip: gebruik IOC, indicators of compomise

Over het algemeen wordt de kwaadaardige executable van een cryptolocker variant aangemaakt op één van de volgende locaties op het systeem:

  • %temp%
  • C:\\.exe
  • %AppData%
  • %LocalAppData%
  • %ProgramData%
  • %Windir%

Block executable in %AppData%

Path: %AppData%\*.exe
Security Level: Disallowed
Description: blokkeer executables die runnen vanuit %AppData%.

Block executable in %LocalAppData%

Path if using Windows XP: %UserProfile%\Local Settings\*.exe
Path if using Windows Vista/7/8: %LocalAppData%\*.exe
Security Level: Disallowed
Description: Don’t allow executables to run from %AppData%.

Block executable in %AppData%

Path: %AppData%\*\*.exe
Security Level: Disallowed
Description: blokkeer executables die in directe subfolders van %AppData% willen runnen

Block executable in %LocalAppData%

Path if using Windows XP: %UserProfile%\Local Settings\*\*.exe
Path if using Windows Vista/7/8: %LocalAppData%\*\*.exe
Security Level: Disallowed
Description: blokkeer executables die in directe subfolders van %AppData% willen runnen

Block executables run from archive attachments opened with WinRAR

Path if using Windows XP: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Path if using Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
Security Level: Disallowed
Description: blokkeer executables die vanuit het een archive geopent met WinRAR willen runnen

Block executables run from archive attachments opened with 7zip

Path if using Windows XP: %UserProfile%\Local Settings\Temp\7z*\*.exe
Path if using Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
Security Level: Disallowed
Description: blokkeer executables die vanuit het een archive geopent met 7zip willen runnen

Block executables run from archive attachments opened with WinZip

Path if using Windows XP: %UserProfile%\Local Settings\Temp\wz*\*.exe
Path if using Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
Security Level: Disallowed
Description: blokkeer executables die vanuit het een archive geopent met WinZip willen runnen

Block executables run from archive attachments opened using Windows built-in Zip support

Path if using Windows XP: %UserProfile%\Local Settings\Temp\*.zip\*.exe
Path if using Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
Security Level: Disallowed
Description: Blokkeer executables die vanuit een archive-attachement willen runnen wanneer ze geopend worden met windows built-in unzip support

FAQ
We hebben een ransomware-besmetting op een van onze systemen. Welke stappen moeten we ondernemen?
  • Het is van groot belang om de bron van de besmetting binnen het eigen netwerk op te sporen.
  • Dit systeem dient vervolgens geïsoleerd te worden van het netwerk (zolang deze niet geïsoleerd is zullen er bestanden besmet blijven raken).
  • Schakel het systeem uit als je er geen onderzoek wilt doen: het geheugen moet gewist worden, anders alleen de netwerkverbinding verbreken.
  • Zorg, al dan niet in samenwerking met een leverancier, dat de virusscanner een update krijgt. Gebruik indien mogelijk een tweede scanner voor verificatie. Scan het besmette systeem, het is mogelijk dat er in de gebruikersomgeving nog sporen aanwezig zijn.
  • Controleer of er geen afwijkende activiteiten meer zijn op het netwerk (anders is er nog ergens een bron besmet).
  • Probeer te achterhalen hoe de besmetting is ontstaan en stel de bron veilig (bijvoorbeeld de mail met de link naar de besmetting). Dit kan onder andere door te onderzoeken welke bestanden het eerst besmet waren.
  • Verwijder alle besmette bestanden.
  • Plaats de bestanden terug van een schone back-up van voor de besmetting.
  • Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. Hierbij gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak.
  • Voor aanvullende hulp neem contact op met de IBD.

Zie ook:
Quick wins om ransomware te voorkomen
Leaflet ransomware